Перейти к содержимому






Фотография

"Где мои папки?" / "Злобный Worm.Win32.Radminer.d"

Написано Roman_Five , 21 Январь 2011 · 2 833 Просмотров

В своей первой записи в блоге я писал, что у меня на работе есть отличный полигон, где можно оттачивать навыки борьбы с вредоносами. Обычно я не вмешиваюсь в работу соответствующих служб университета, которые должны обеспечивать бесперебойную работу медиа-центра...
В один прекрасный момент (для меня он тогда ещё был прекрасным :acute: - предновогоднее настроение как-никак) и преподаватели, и студенты стали жаловаться, что на их флэшках после "соприкасания" с PC медиацентра странным образом исчезают папки.
- Подумаешь! - сказал я...
- Очередной "выверт" Trojan.Win32.FlyStudio или Trojan-Dowloader.Win32.FlyStudio - на папки ставится атрибут "скрытый" и создаются с аналогичными именами экзешники.
Как оказалось, я был не прав. На папки не ставился атрибут "скрытый" - они просто исчезали... И в то же время были на месте. В любом файловом менеджере их не было видно, а вот при проверке KIS - в отчёте фигурировали...
Моё терпение лопнуло, когда такой-же казус приключился в последние предновогодние дни и у меня. На моих глазах все папки резко исчезли и появились <name>.exe.
Виновник - Worm.Win32.Radminer.d.
На тот момент я ещё не знал, что эти последствия легко исправляются "не-кривыми-руками", поэтому действовал по старинке: восстанавливал папки с помощью Recovery My Files, форматировал флэшку и записывал обратно восстановленную информацию.
После этого написал даже в вирлаб запрос на дополнительное описание вредоноса (касаемо его деструктивных действий с папками), чтобы можно было быстрее восстанавливать "побитые" флэшки... Они мне мило ответили, что, мол, не в нашей компетенции - обращайтесь в ТП. А что я скажу ТП? Что радминера пропустили DrWeb (со свежими базами) и NOD32 (со старыми)? Последует логичный вопрос: "А мы здесь при чём?.." И он будет правильным...
Вчера нашёл в себе силы и сделал пару логов в "больных" PC. Написал универсальный скрипт. Быстро пролечил все рабочие станции с помощью AVZ.

Далее последует информация, которая должна использоваться только опытными пользователями!
Симптоматика присутствия Worm.Win32.Radminer.d на компьютере:
- пропадают папки на сменных носителях при подключении (даже при отображении скрытых и системных);
- в диспетчере задач (Ctrl+Shift+Esc) в процессах висит :services.exe.
Лечение:
выполнить в AVZ скрипт (файловая система дисков - NTFS; на FAT32 не тестировал!)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('%SysDisk%\:services.exe');
 QuarantineFile('%system32%\config\svcset.bat','');
 QuarantineFile('%system32%\config\AdmDll.dll','');
 QuarantineFile('%system32%\config\raddrv.dll','');
 QuarantineFile('%system32%\config\svchost.exe','');
 QuarantineFile('%system32%\config\svcset.reg','');
 QuarantineFile('%SysDisk%\:services.exe','');
 DeleteFile('%system32%\config\svcset.bat');
 DeleteFile('%system32%\config\AdmDll.dll');
 DeleteFile('%system32%\config\raddrv.dll');
 DeleteFile('%system32%\config\svchost.exe');
 DeleteFile('%system32%\config\svcset.reg');
 DeleteFile('%SysDisk%\:services.exe');
 DelAutorunByFileName('%SysDisk%\:services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Возврат папок:
- либо поместить в корень "битого" сменного носителя cmd-файл из архива и запустить на исполнение (появится новая папка lostdir - всё, что было скрыто)
Прикрепленный файл  recovdir.zip (142байт)
скачиваний: 478
- либо в TotalCommander'e в командной сроке набрать:
cd e2e2~1
- перенести из папки lostdir или e2e2~1 (в зависимости от способа отображения скрытой папки ..) всё содержимое в корень.


  • 0



Огромное спасибо... Помогло, а то обидно было такие данные на флешки были... :) :) :)
    • 0

После этого написал даже в вирлаб запрос на дополнительное описание вредоноса (касаемо его деструктивных действий с папками), чтобы можно было быстрее восстанавливать "побитые" флэшки... Они мне мило ответили, что, мол, не в нашей компетенции - обращайтесь в ТП.

после того, как я нашёл решения в нете и накропал данную запись, на cайте ТП ЛК появилась утилита RadminerFlashRestorer.
http://www.kaspersky...s?qid=208640271
    • 0

Сентябрь 2018

П В С Ч П С В
     12
3456789
10111213141516
17181920 21 2223
24252627282930

Последние комментарии

пользователей просматривает

0 пользователей, 0 гостей, 0 анонимных

Поиск по блогу

Последние посетители

  • Фотография
    Sandor
    30 мая 2017 - 11:34
  • Фотография
    Vob
    11 дек. 2014 - 19:37
  • Фотография
    Roman_SO
    16 дек. 2013 - 11:50
  • Фотография
    mike 1
    23 нояб. 2013 - 23:56
  • Фотография
    bobro-dvas
    22 нояб. 2013 - 10:05